S2S OVPN между микротиками.

[Strange0ne]

Всех приветствую!
У меня появилась задача подружить между собой 2 микрота через ovpn (udp). Настроил с обоих концов, туннель поднялся.
Без проблем пингую точки по сабнету OVPN. Подсетки за роутером пингуются через ROS терминал. НО! Не пингуются с CLI на хостах за роутерами. Я очень грешу на NAT но не понимаю как сделать правильно. Конфигурация ниже. Файрволл отключил с двух сторон.
Пробовал вешать маскарадинг на out интерфейс ovpn с двух сторон, трафик мог идти только со стороны сервера до клиента, и при этом iperf показывал 10 Mbits\s. Хотя Btest выдавал до 200.

Подскажите, пожалуйста, в чем может быть проблема.

OVPN сервер

Код: Выделить всё

/interface ovpn-server server
add auth=sha1 certificate="Lets encrypt1759938935" cipher=aes128-cbc disabled=no mac-address=FE:FE:F2:DE:65:F6 name=tun_ovpn_msc-pvl netmask=32 protocol=udp push-routes="10.27.27.0 255.255.255.0 10.1.1.1 1" \
    tls-version=only-1.2
  
/ppp secret  
add local-address=10.1.1.1 name=pvl-ac2 remote-address=10.1.1.2 service=ovpn

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT for lan network" out-interface-list=WAN
add action=dst-nat chain=dstnat comment=nginx dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=10.27.27.120 to-ports=80
add action=dst-nat chain=dstnat comment="forward to gitlab ssh" dst-port=2722 protocol=tcp to-addresses=10.27.27.8 to-ports=22
add action=dst-nat chain=dstnat comment="nginx https" dst-port=443 in-interface-list=WAN protocol=tcp to-addresses=10.27.27.120 to-ports=443
add action=dst-nat chain=dstnat comment="forward to wol broadcast " dst-port=2700 log=yes log-prefix="Wake Up" protocol=udp to-addresses=10.27.27.100 to-ports=9
add action=dst-nat chain=dstnat comment="forward to check host is up" disabled=yes dst-port=2701 protocol=tcp to-addresses=10.27.27.27 to-ports=3389
add action=dst-nat chain=dstnat dst-address=10.0.5.2 dst-port=3001 protocol=tcp to-addresses=10.0.5.2 to-ports=3001
add action=dst-nat chain=dstnat comment=container_adguard_dns dst-address=10.0.5.3 dst-port=53 protocol=tcp to-addresses=10.0.5.3 to-ports=53

OVPN клиент

Код: Выделить всё

/interface ovpn-client
add cipher=aes128-cbc connect-to=heb08hmft3f.sn.mynetname.net \
    mac-address=02:C8:A1:DF:BE:F7 name=msk_rb5009 profile=\
    ovpn-server_msk-rb5009 protocol=udp tls-version=only-1.2 \
    use-peer-dns=no user=pvl-ac2 verify-server-certificate=yes
    
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface-list=WAN

[Chupaka]

Доброй ночи.

push-routes - это, конечно, хорошо, но благодаря этому правый роутер знает, где находится подсеть 10.27.27.0/24. А вот чтобы левому серверу рассказать, где находится 10.20.20.0/24, создайте на нём маршрут к 10.20.20.0/24 через 10.1.1.2 (судя по документации, параметр routes в /ppp secret OVPN игнорирует, хотя идеологически правильнее было бы там это вписать)

[Strange0ne]

Доброй ночи.

push-routes - это, конечно, хорошо, но благодаря этому правый роутер знает, где находится подсеть 10.27.27.0/24. А вот чтобы левому серверу рассказать, где находится 10.20.20.0/24, создайте на нём маршрут к 10.20.20.0/24 через 10.1.1.2 (судя по документации, параметр routes в /ppp secret OVPN игнорирует, хотя идеологически правильнее было бы там это вписать)

А в этом и проблема, роуты тоже есть, я их создал руками)